現在、以下のバージョンに対してセキュリティアップデートを提供しています。
| Version | Supported |
|---|---|
| latest | ✅ |
| < 1.0 | ❌ |
最新バージョンを使用することを強く推奨します。古いバージョンでは、セキュリティパッチが提供されない場合があります。
ValidKit のセキュリティ脆弱性を発見された場合は、以下の手順に従って報告してください。
機密性の高い脆弱性の場合(推奨)
GitHub のセキュリティアドバイザリ機能を使用してください。
- Security Advisories ページにアクセス
- "Report a vulnerability" をクリック
- 脆弱性の詳細を記入して送信
一般的な問題の場合
GitHub Issue を作成することもできますが、機密性の高い脆弱性の場合は上記の方法を使用してください。
脆弱性を報告する際は、以下の情報を含めてください。
- 脆弱性の種類と影響範囲
- 再現手順(可能な限り詳細に)
- 影響を受けるバージョン
- 可能であれば、修正案や回避策
- 概念実証コード(PoC)があれば
-
確認:24〜48時間以内に受領確認を送信します
-
調査:脆弱性の検証と影響範囲の調査を行います
-
修正:脆弱性の重大度に応じて修正作業を開始します
-
公開:修正版リリース後、適切な期間を経てセキュリティアドバイザリを公開します
脆弱性は以下の基準で評価されます。
- Critical: リモートコード実行、認証バイパスなど
- High: データ漏洩、権限昇格など
- Medium: サービス拒否、情報開示など
- Low: その他のセキュリティ上の懸念
- セキュリティパッチは優先的にリリースされます
- 重大な脆弱性の場合、緊急パッチをリリースすることがあります
- セキュリティ修正は GitHub Release と PyPI で公開されます
セキュリティアップデートは以下の方法で通知されます。
- GitHub Security Advisories
- GitHub Releases
- README.md のバッジ更新
ValidKit は以下のセキュリティ対策を実施しています。
- すべてのリリースに SLSA v3 準拠の来歴証明(provenance)を付与
- PyPI Trusted Publishing(OIDC)を使用した安全な公開
- GitHub Actions による自動化されたビルドプロセス
配布物の検証は slsa-verifier を使用できます。
slsa-verifier verify-artifact dist/validkit-*.whl \
--provenance multiple.intoto.jsonl \
--source-uri github.com/disnana/ValidKit詳細は README.md を参照してください。
ValidKit を安全に使用するための推奨事項を以下に示します。
pip install --upgrade validkit-py定期的に更新を確認し、最新バージョンを使用してください。
- 信頼できないソースからの入力は必ずバリデーションを行ってください
- 正規表現を使用する際は、ReDoS(Regular Expression Denial of Service)攻撃に注意してください
- バリデーションエラーを適切に処理し、機密情報を含むエラーメッセージを外部に公開しないでください
- ValidKit は最小限の依存関係で設計されていますが、プロジェクト全体の依存関係を定期的に監査してください
- 過度に複雑なバリデーションパターンは避け、パフォーマンスとセキュリティのバランスを取ってください
現時点で既知のセキュリティ上の制限事項は以下の通りです。
- ValidKit はバリデーションライブラリであり、サニタイゼーション機能は提供していません
- 非常に大きなデータや深くネストされたデータに対しては、DoS 攻撃のリスクがあります
セキュリティに関する質問や懸念事項がある場合は、以下をご利用ください。
- GitHub Security Advisories: Report a vulnerability
- GitHub Issues: Create an issue (非機密情報のみ)
セキュリティ脆弱性を責任を持って報告してくださった方々に感謝いたします。
脆弱性を発見し報告された方は、修正版リリース後に(ご希望があれば)謝辞として記載させていただきます。
- 2026-01-24: 初版作成
The following versions are currently being supported with security updates:
| Version | Supported |
|---|---|
| latest | ✅ |
| < 1.0 | ❌ |
We strongly recommend using the latest version. Older versions may not receive security patches.
If you discover a security vulnerability in ValidKit, please follow these steps:
For Sensitive Vulnerabilities (Recommended):
Use GitHub Security Advisories:
- Visit the Security Advisories page
- Click "Report a vulnerability"
- Fill in the details and submit
For General Issues:
You can create a GitHub Issue, but please use the above method for sensitive vulnerabilities.
When reporting a vulnerability, please include:
- Type of vulnerability and its impact
- Steps to reproduce (as detailed as possible)
- Affected versions
- Suggested fix or workaround, if available
- Proof of concept code, if available
-
Acknowledgment: We will acknowledge receipt within 24-48 hours
-
Investigation: We will verify the vulnerability and assess its impact
-
Fix: We will begin remediation based on severity
-
Disclosure: After releasing a fix, we will publish a security advisory after an appropriate period
Vulnerabilities will be assessed using the following criteria:
- Critical: Remote code execution, authentication bypass, etc.
- High: Data leakage, privilege escalation, etc.
- Medium: Denial of service, information disclosure, etc.
- Low: Other security concerns
- Security patches are released with high priority
- Critical vulnerabilities may trigger emergency patch releases
- Security fixes are published on GitHub Releases and PyPI
Security updates will be announced through:
- GitHub Security Advisories
- GitHub Releases
- Badge updates in README.md
ValidKit implements the following security measures:
- All releases include SLSA v3 compliant provenance
- Secure publishing using PyPI Trusted Publishing (OIDC)
- Automated build process via GitHub Actions
You can verify distributions using slsa-verifier:
slsa-verifier verify-artifact dist/validkit-*.whl \
--provenance multiple.intoto.jsonl \
--source-uri github.com/disnana/ValidKitSee README.md for more details.
Recommendations for using ValidKit securely:
pip install --upgrade validkit-pyRegularly check for updates and use the latest version.
- Always validate input from untrusted sources
- Be cautious of ReDoS attacks when using regular expressions
- Handle validation errors properly and avoid exposing sensitive information in error messages
- ValidKit is designed with minimal dependencies, but regularly audit your project's dependencies
- Avoid overly complex validation patterns and balance performance with security
Known security limitations at this time:
- ValidKit is a validation library and does not provide sanitization features
- Very large or deeply nested data may pose DoS attack risks
For security-related questions or concerns:
- GitHub Security Advisories: Report a vulnerability
- GitHub Issues: Create an issue (non-sensitive only)
We thank those who responsibly disclose security vulnerabilities to us.
Researchers who discover and report vulnerabilities will be acknowledged (if desired) after the fix is released.
- 2026-01-24: Initial version created